Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Вы — вице-президент по вопросам поставок большой компании, выпускающей компьютеры. Прошлый год был напряженнее других, так как ваша компания решила перейти на аутсорсинговую модель поставок своей продукции, что затронуло все стороны деятельности вашей службы. Этот переход завершен, все идет гладко, и вы наконец-то облегченно вздохнули. Вы на себе ощутили всю тяжесть задачи выбора правильного партнера по перевозке продукции и перехода на новую бизнес-модель.

Сейчас, когда вы и ваша команда осуществили цели, поставленные компанией перед вашим подразделением, наступает время выбраться всем коллективом на природу. Вы запланировали провести ваш отпуск на лыжах в Аспене. Так как утром уже надо уезжать, вы хотите отправить несколько сообщений по электронной почте и убрать на рабочем столе.

Вы закончили уборку стола, отправку почты и готовы уйти. Но когда вы отрываете на мгновение свой взгляд от стола, то замечаете директора по информационным технологиям, быстро идущего по проходу. Кажется, он направляется в ваш офис. Взглянув на него снова, вы видите, что его походка стремительна, а выражение лица — агрессивно. Ну вот. Вам уже приходилось видеть его таким. Это предвещает неприятности.

Да, он действительно шел в ваш офис. Он вошел и закрыл дверь. Вместо того чтобы поблагодарить вас за хорошо сделанную работу, он обрушивается на вас с упреками в отношении выбранной вами компании для перевозки продукции. Очевидно, хакер взломал сеть этой компании. Наступил пик продаж, происходящий в конце каждого года, но не удается отправить ни одной единицы продукции!

Вы замечаете, что лицо директора становится багровым и его всего трясет. Вот-вот он раздавит вас, как жука. Ну как вы могли знать, что системы вашего нового партнера не защищены? Вы доверили ему отправку вашей продукции и считали, что он будет поддерживать безопасность со своей стороны.

Но вы не знаете (и можете никогда не узнать), что хакер пробрался из вашей сети в сеть подрядчика и обрушил все его системы. На его стороне защита в полном порядке. Это ваша сеть поставила его под угрозу. Так как вы уже тонете, то вы, разумеется, не собираетесь копаться во внутренних процедурах. Вместо этого вы показываете пальцем на партнера (и обвиняете во всем его).

Как не оказаться на месте этого партнера? Ведь слишком часто сторонние подрядчики становятся объектом обвинений из-за ошибки основного партнера. Рассмотрим пример…

Как и многие другие компании в 90-х годах, фирма S&B Systems искала прогрессивные методы ведения своего бизнеса. И как многие свои современники, фирма ухватилась за идею аутсорсинга.

В принципе аутсорсинг означает оплату услуг другой компании по выполнению части ваших функций. Например, S&B не хотела непосредственно нанимать (и платить им жалованье) 70 секретарей для работы по приему посетителей в различных странах. Вместо этого они передали эту службу подрядчику. Такой секретарь, сидящий в холле, выглядел внешне как служащий S&B Systems, но в действительности он работал в фирме по обеспечению обслуживающим персоналом с названием Job Power. После успешного аутсорсинга с секретарями S&B стала искать, как применить этот подход и для другого персонала.

Однажды руководство компании решило перевести на аутсорсинг все операции по перевозкам. Оно выбрало в качестве партнера фирму Express Time, имевшую многолетний опыт своевременных поставок и солидную репутацию. Для облегчения этого процесса S&B подключила Express Time к своей сети. Переход, казалось, проходил плавно. Вскоре у S&B Systems не было забот о поддержке и обеспечении персоналом отдела перевозок. Их выбор Express Time казался огромной удачей для обеих сторон.

Но высшие руководители S&B Systems и Express Time не знали, что система, соединяющая две компании, не была настроена так, чтобы обеспечивать безопасность. Каждый, кто получал доступ в эту межсетевую систему, мог заходить то в одну компанию, то в другую и собирать, изменять или уничтожать информацию как в S&B Systems, так и в Express Time.